Hilfeeeeeee???!!!

Diskutiere Hilfeeeeeee???!!! im Firewalls Forum im Bereich Netzwerke & Serverdienste; Firewall auf vserver installieren - Hilfe??! Also ich versuche seit 4 Tagen zu verstehen wie das mit diesen IPTABLES funktioniert - habe...

  1. #1 effect-energy, 16.04.2004
    Zuletzt bearbeitet: 16.04.2004
    effect-energy

    effect-energy Mitglied

    Dabei seit:
    15.04.2004
    Beiträge:
    44
    Zustimmungen:
    0
    Ort:
    DMZ
    Firewall auf vserver installieren - Hilfe??!

    Also ich versuche seit 4 Tagen zu verstehen wie das mit diesen IPTABLES funktioniert - habe unzählige Seiten im Netz durchforstet : kapier aber nicht was ich machen soll.....
    Dann bin ich auf nen IPTABLES-Generator gestossen (Harry) - nur wie packe ich das (vorallem!) wohin????????
    ....gloreiche Idee 2 :Webmin installieren.....
    wget......funzt! ls - webmin.rpm wird angezeigt.....
    rpm -i <datei> : kein rpm paket da.......
    .....und ich hab sowieso schon keine Ahnung - als Neuling in Sachen Linux...... :help:
     
  2. Anzeige

    Anzeige

    Wenn du mehr über Linux erfahren möchtest, dann solltest du dir mal folgende Shellkommandos anschauen.


    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 qmasterrr, 16.04.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
  4. #3 effect-energy, 16.04.2004
    Zuletzt bearbeitet: 16.04.2004
    effect-energy

    effect-energy Mitglied

    Dabei seit:
    15.04.2004
    Beiträge:
    44
    Zustimmungen:
    0
    Ort:
    DMZ
    ......Titel geändert - aber was ist gen und frontend???
    ....ich hab echt keinen Plan - hab mal 2 Wochen Linux crashkurs gemacht (Umschulung IT/Systemelektroniker) - dann sollte ich das können......(....die anderen können es auch noch nicht - die hab ich schon gefragt)
     
  5. chb

    chb Steirer

    Dabei seit:
    01.06.2003
    Beiträge:
    2.359
    Zustimmungen:
    0
    Ort:
    ÖSTERREICH
    Am besten iss halt du liest dir mal ein HOWTO darüber durch, damit du verstehst was du damit machen kannst und wie - IPTables iss vom Grundaufbau net sonderlich schwer man muß nur mal anfangen.

    http://www.netfilter.org/documentation/index.html Da schau dir mal die FAQ und so an.

    Und wenn dann Fragen auftauchen, einfach hier rein :)
     
  6. #5 HangLoose, 16.04.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    moin


    was nicht unbedingt viel ist ;).

    auf harrys seite gibt es auch ein howto zum iptables generator. darin wird auch beschrieben, wie du das script per hand starten kannst.
    wenn das script automatisch beim booten starten soll, was sinnvoll ist, machst du als root folgendes

    chmod 500 firewall.sh oder wie auch immer du das script genannt hast

    cp firewall.sh /etc/init.d nach /etc/init.d kopieren

    ln -s /etc/init.d/firewall.sh /etc/init.d/rc3.d/S99firewall.sh
    ln -s /etc/init.d/firewall.sh /etc/init.d/rc5.d/S99firewall.sh
    in die runlevel 3 u. 5 einen entsprechenden link legen.

    das war's jetzt auch schon. beim nächsten booten wird das script automatisch gestartet. wenn du das script mal per hand stoppen/starten willst

    /etc/init.d/firewall.sh start
    /etc/init.d/firewall.sh stop


    ganz oben hier im forum findest du einen sticky thread mit nützlichen links bezüglich iptables.

    ps: und tu mir einen gefallen => ein !,? etc. reichen !!!1!!11! ;)


    Gruß HL
     
  7. #6 effect-energy, 16.04.2004
    effect-energy

    effect-energy Mitglied

    Dabei seit:
    15.04.2004
    Beiträge:
    44
    Zustimmungen:
    0
    Ort:
    DMZ
    Zum Thema P.S. : (3punkte*g*)ich werds mir merken.

    Aber noch eins : (nun ein coming out) ich arbeite noch auf Win XP, da ich Linux erst seit 3 Monaten kenne (ich schäme mich ja auch!) - da hab ich das "firewall.sh" - wie kriege ich das denn auf den Server?
    Mit wget wirds wohl nicht funktionieren, oder?
     
  8. #7 HangLoose, 16.04.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    hi

    sehr gut ;).

    die wenigsten sind mit linux groß geworden, von daher kein grund sich zu schämen ;).

    auf anhieb als einfachste lösung fällt mir hier mailen+anhang ein. also entweder neu generieren lassen und die mail mit linux abholen oder das script was du hast, an die eigene mail addy schicken und mit linux abholen.

    ups, ich sehe grade das wort server. das bedeutet wohl, das auf der kiste nur das nötigste läuft. wenn auf deinem xp rechner auch noch linux läuft wäre es easy

    script auf linuxpartion verschieben => mit scp auf server kopieren

    scp firewall.sh user@xxx.xxx.xx.x:/home/user

    user gegen deinen usernamen austauschen und für die x die ip vom server einsetzen.

    das ganze geht sicher auch mit putty+win, allerdings kenne ich mich mit putty nicht aus.


    Gruß HL
     
  9. #8 effect-energy, 16.04.2004
    effect-energy

    effect-energy Mitglied

    Dabei seit:
    15.04.2004
    Beiträge:
    44
    Zustimmungen:
    0
    Ort:
    DMZ
    DANKE!
    Werde es gleich versuchen wenn ich zu Hause bin!
     
  10. #9 HangLoose, 16.04.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    hi

    wenn alle stricke reißen => die gute alte diskette :D.

    achso nochwas, komme nicht auf die idee das firewallscript mit nem win-editor zu bearbeiten, dann landen möglicherweise steuerzeichen im script mit denen linux nix anfangen kann.


    Gruß HL
     
  11. #10 effect-energy, 16.04.2004
    effect-energy

    effect-energy Mitglied

    Dabei seit:
    15.04.2004
    Beiträge:
    44
    Zustimmungen:
    0
    Ort:
    DMZ
    Also hab mir das jetzt mal zurecht gelegt - da mein Suse im Grafikmodus immer "stehen" bleibt - arbeite ich im Failsafe......
    Habe es in /init.d
    .....wie sieht das mit dem runlevel aus er schreibt :
    "/etc/init.d/rc3.d/S99firewall.sh" to "/etc/init.dfirewall.sh" : no such file or DIrectory
     
  12. #11 effect-energy, 16.04.2004
    Zuletzt bearbeitet: 16.04.2004
    effect-energy

    effect-energy Mitglied

    Dabei seit:
    15.04.2004
    Beiträge:
    44
    Zustimmungen:
    0
    Ort:
    DMZ
    ....ohoh jetzt hab ich ./firewall.sh gesagt.....und der server ist nicht mehr erreichbar.......ohoh


    ...nach nem reboot ist er wieder da......
     
  13. #12 HangLoose, 16.04.2004
    Zuletzt bearbeitet: 16.04.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    du hast da anscheinend nen / vergessen

    to "/etc/init.dfirewall.sh"

    noch was hast du physikalisch zugriff auf den rechner, oder ist das sowas wie nen vserver? wenn nicht hast du hoffentlich *angekreuzt* das ssh zugang erlaubt ist.

    edit: wenn du keinen physikalischen zugriff auf den server hast, dann warte mit dem korrekten einbinden des scriptes in den runlevel, bis geklärt ist, ob du zugang per ssh hast(nach starten des firewallscripts per hand) ansonsten sperrst du dich nämlich aus.


    Gruß HL
     
  14. #13 effect-energy, 17.04.2004
    effect-energy

    effect-energy Mitglied

    Dabei seit:
    15.04.2004
    Beiträge:
    44
    Zustimmungen:
    0
    Ort:
    DMZ
    du hast da anscheinend nen / vergessen

    to "/etc/init.dfirewall.sh"


    Habe das abgetippt, da ich mit XP im Netz war und mit Failsafe (....der Suse Desktop schmiert ja immer ab) im Linux....


    noch was hast du physikalisch zugriff auf den rechner, oder ist das sowas wie nen vserver? wenn nicht hast du hoffentlich *angekreuzt* das ssh zugang erlaubt ist.

    .....es ist ein vserver!


    noch was hast du physikalisch zugriff auf den rechner, oder ist das sowas wie nen vserver? wenn nicht hast du hoffentlich *angekreuzt* das ssh zugang erlaubt ist.

    .....es ist ein vserver!
     
  15. #14 HangLoose, 17.04.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    moin

    wie gesagt, hast du den befehl wohl etwas falsch abgetippt und einen / vergessen.
    im nachhinein gesehen, war das aber wohl dein glück ;), da du wohl vergessen hast, den ssh zugang zu erlauben.

    am besten du postest mal das script, damit ich mir das mal anschauen kann.
    wichtig wäre noch das interface, also ob eth0 oder eth1 am inet *hängen*.

    Gruß HL
     
  16. #15 effect-energy, 17.04.2004
    effect-energy

    effect-energy Mitglied

    Dabei seit:
    15.04.2004
    Beiträge:
    44
    Zustimmungen:
    0
    Ort:
    DMZ
    Was meinst Du mit interface eth oder eth1??
     
  17. #16 effect-energy, 17.04.2004
    effect-energy

    effect-energy Mitglied

    Dabei seit:
    15.04.2004
    Beiträge:
    44
    Zustimmungen:
    0
    Ort:
    DMZ
    #!/bin/bash
    # ---------------------------------------------------------------------
    # Linux-iptables-Firewallskript, Copyright (c) 2004 under the GPL
    # Autogenerated by iptables Generator v1.16 (c) 2002 by Harald Bertram*
    # Please visit http://www.harry.homelinux.org for new versions of
    # the iptables Generator (c).
    #
    # This Script was generated by request from:
    # email@andypost.de on: 2004-4-15 20:34.27 MET.
    #
    # If you have questions about the iptables Generator or about
    # your Firewall-Skript feel free to take a look at out website or
    # send me an E-Mail to webmaster@harry.homelinux.org.
    #
    # My special thanks are going to Lutz Heinrich (trinitywork@hotmail.com) who
    # made lots of Beta-Testing and gave me lots of well qualified
    # Feedback that made me able to improve the iptables Generator.
    # --------------------------------------------------------------------

    case "$1" in
    start)
    echo "Starte IP-Paketfilter"

    # iptables-Modul
    modprobe ip_tables
    # Connection-Tracking-Module
    modprobe ip_conntrack
    # Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
    modprobe ip_conntrack_irc
    modprobe ip_conntrack_ftp

    # Tabelle flushen
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -X
    iptables -t nat -X
    iptables -t mangle -X

    # Default-Policies setzen
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    # MY_REJECT-Chain
    iptables -N MY_REJECT

    # MY_REJECT fuellen
    iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
    iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
    iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
    iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
    iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
    iptables -A MY_REJECT -p icmp -j DROP
    iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
    iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable

    # MY_DROP-Chain
    iptables -N MY_DROP
    iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
    iptables -A MY_DROP -j DROP

    # Alle verworfenen Pakete protokollieren
    iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID "
    iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID "

    # Korrupte Pakete zurueckweisen
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A OUTPUT -m state --state INVALID -j DROP

    # Stealth Scans etc. DROPpen
    # Keine Flags gesetzt
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP

    # SYN und FIN gesetzt
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP

    # SYN und RST gleichzeitig gesetzt
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP

    # FIN und RST gleichzeitig gesetzt
    iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP

    # FIN ohne ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP

    # PSH ohne ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP

    # URG ohne ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP

    # Loopback-Netzwerk-Kommunikation zulassen
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    # Connection-Tracking aktivieren
    iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # HTTP
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 80 -j ACCEPT

    # HTTPS
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 443 -j ACCEPT

    # SMTP
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 25 -j ACCEPT

    # POP3
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 110 -j ACCEPT

    # POP3S
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 995 -j ACCEPT

    # DNS
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -i ppp0 -m state --state NEW -p udp --dport 53 -j ACCEPT

    # FTP
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 21 -j ACCEPT

    # SSH
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 22 -j ACCEPT

    # MYSQL
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 3306 -j ACCEPT

    # TELNET
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 23 -j ACCEPT

    # Default-Policies mit REJECT
    iptables -A INPUT -j MY_REJECT
    iptables -A OUTPUT -j MY_REJECT

    # Max. 500/Sekunde (5/Jiffie) senden
    echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

    # Speicherallozierung und -timing für IP-De/-Fragmentierung
    echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
    echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
    echo 30 > /proc/sys/net/ipv4/ipfrag_time

    # TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
    echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

    # Maximal 3 Antworten auf ein TCP-SYN
    echo 3 > /proc/sys/net/ipv4/tcp_retries1

    # TCP-Pakete maximal 15x wiederholen
    echo 15 > /proc/sys/net/ipv4/tcp_retries2

    ;;

    stop)
    echo "Stoppe IP-Paketfilter"
    # Tabelle flushen
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -X
    iptables -t nat -X
    iptables -t mangle -X
    echo "Deaktiviere IP-Routing"
    echo 0 > /proc/sys/net/ipv4/ip_forward

    # Default-Policies setzen
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    ;;

    status)
    echo "Tabelle filter"
    iptables -L -vn
    echo "Tabelle nat"
    iptables -t nat -L -vn
    echo "Tabelle mangle"
    iptables -t mangle -L -vn
    ;;

    *)
    echo "Fehlerhafter Aufruf"
    echo "Syntax: $0 {start|stop|status}"
    exit 1
    ;;

    esac
     
  18. #17 HangLoose, 17.04.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    naja der vserver selbst wird ja ne netzwerkkarte besitzen, womit er am inet hängt. vermute ich jetzt zumindest mal, hab noch nix mit nem vserver zu tun gehabt. gibt's da irgendwo ne inetseite zu dem angebot?
     
  19. #18 effect-energy, 17.04.2004
    effect-energy

    effect-energy Mitglied

    Dabei seit:
    15.04.2004
    Beiträge:
    44
    Zustimmungen:
    0
    Ort:
    DMZ
  20. #19 HangLoose, 17.04.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    hi



    Code:
    # Connection-Tracking aktivieren
     iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
     iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    [b]# ssh
     iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 22 -j ACCEPT[/b]
     
     # HTTP
     iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 80 -j ACCEPT
    die *fette* regel füge mal in dein script ein und die mit telnet hauste wieder raus.

    und dann starte das script als root von hand aus

    /etc/init.d/firewall.sh start



    Gruß HL
     
  21. #20 HangLoose, 17.04.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    *argh*, ich sehe grade, das in deinem script doch schon eine ssh regel war, hab ich beim ersten mal übersehen.

    wie verbindest du dich denn mit dem vserver, per ssh?
     
Thema:

Hilfeeeeeee???!!!

  1. Diese Seite verwendet Cookies um Inhalte zu personalisieren. Außerdem werden auch Cookies von Diensten Dritter gesetzt. Mit dem weiteren Aufenthalt akzeptierst du diesen Einsatz von Cookies.
    Information ausblenden